У меня есть AD RODC, работающий на Server 2012 R2 Core в моей сети периметра. Я использую это для внешних / размещенных приложений, которые могут выполнять аутентификацию на основе LDAPS. Моя проблема в том, что полное доменное имя сервера - это внутреннее имя (rodc-01.company.local). У меня есть A-запись во внешнем DNS и внешнем DNS для понятного имени (auth.company.com). Я уже убедился, что обычный LDAP-трафик без SSL через порт 389 работает нормально как для внутренних, так и для внешних приложений.
В идеале я хочу использовать только LDAPS, но, согласно Microsoft, полное доменное имя сервера должно быть либо в общем имени, либо в SAN сертификата. Учитывая, что мне нужно использовать это с внешними приложениями, мне нужен доверенный сторонний сертификат. Я получил один через GoDaddy для auth.company.com. Контроллер домена только для чтения отказывается распознавать сертификат (журналы CAPI2 содержат ошибку несоответствия имени хоста). Надежные сторонние поставщики сертификатов не выдают сертификаты для доменов .local. Есть ли способ обойти это? Я могу выдать сертификат из моей внутренней инфраструктуры CA, но тогда внешние приложения отказываются подключаться, потому что они не доверяют сертификату, и не все приложения позволяют мне предоставить им сертификат, которому можно доверять.
Есть ли у кого-нибудь знания или опыт в этой работе? Microsoft поставила нас в затруднительное положение, поместив это требование в LDAPS.
Возможность публикации ... Наконец-то я нашел Эта статья:
По сути, для этого у вас должен быть сертификат в хранилище сертификатов служб NTDS. Проблема в том, что на коробке SErver Core Microsoft предоставляет ровно 0 официальных утилит / инструментов для этого. Вы не можете удаленно добавлять сертификаты с закрытыми ключами в хранилище сертификатов NTDS, и вы не можете использовать оснастку MMC из окна Core, а также certutil.exe или встроенные командлеты PowerShell не работают ни с чем, кроме LocalMachine и Current user. .
Вам необходимо экспортировать раздел реестра, относящийся к вашему сертификату, из хранилища LocalMachine, а затем импортировать эти параметры в реестр в папку реестра хранилища сертификатов NTDS.
После перезагрузки соединения LDAPS с auth.company.com были приняты без каких-либо проблем.